Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh advfirewall consec add rule ?
Format: add rule name=
endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|||||
endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|||||
action=requireinrequestout|requestinrequestout|
requireinrequireout|requireinclearout|noauthentication
[description=][mode=transport|tunnel (standard=transport)][enable=yes|no (standard=yes)][profile=public|private|domain|any[,...] (standard=any)][type=dynamic|static (standard=static)][localtunnelendpoint=any||][remotetunnelendpoint=any||][port1=0-65535|[,...]|any (standard=any)][port2=0-65535|[,...]|any (standard=any)][protocol=0-255|tcp|udp|icmpv4|icmpv6|any (standard=any)][interfacetype=wiresless|lan|ras|any (standard=any)][auth1=computerkerb|computercert|computercertecdsap256|
computercertecdsap384|computerpsk|computerntlm|anonymous[,...]][auth1psk=][auth1ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (standard=root)]|..."][auth1healthcert=yes|no (standard=no)][auth1ecdsap256ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (standard=root)]| ..."][auth1ecdsap256healthcert=yes|no (standard=no)][auth1ecdsap384ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (standard=root)]| ..."][auth1ecdsap384healthcert=yes|no (standard=no)][auth2=computercert|computercertecdsap256|computercertecdsap384|
userkerb|usercert|usercertecdsap256|usercertecdsap384|userntlm|
anonymous[,...]][auth2ca="[certmapping:yes|no][catype:root|intermediate (standard=root)]| ..."][auth2ecdsap256ca="[certmapping:yes|no][catype:root|intermediate (standard=root)]| ..."][auth2ecdsap384ca="[certmapping:yes|no][catype:root|intermediate (standard=root)]| ..."][qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
none (standard=none)][qmsecmethods=authnoencap:+[valuemin]+[valuekb]|
ah:+esp:-+[valuemin]+[valuekb]|default][exemptipsecprotectedconnections=yes|no (standard=no)][applyauthz=yes|no (standard=no)]
Kommentarer:
- Regelnavnet skal være entydigt og må ikke være "all".
- Når mode=tunnel, skal der angives tunnelslutpunkter,
medmindre handlingen er noauthentication.
Når der angives specifikke IP-adresser, skal de have samme
IP-version.
Når du konfigurerer dynamiske tunneller, gælder desuden følgende:
Tunnelslutpunkter kan angives til any. Du behøver ikke
angive et tunnelslutpunkt for Klientpolitik
(dvs. any).
Du behøver ikke angive fjerntunnelslutpunkter for
Gatewaypolitik (dvs. any).
Desuden skal action være requireinrequireout, requireinclearout,
eller noauthentication.
- requireinclearout er ikke gyldig, når mode=Transport.
- Der skal angives mindst én godkendelse.
- Auth1 og auth2 kan være kommaseparerede lister med indstillinger.
- Metoderne Computerpsk og computerntlm kan ikke angives sammen
for auth1.
- Computercert kan ikke angives med brugerlegitimationsoplysninger for auth2.
- Certsigning-indstillingerne ecdsap256 og ecdsap384 understøttes kun under
Windows Vista SP1 og senere.
- Qmsecmethods kan være en liste over forslag adskilt med ",".
- For qmsecmethods, integrity=md5|sha1|sha256|aesgmac128|aesgmac192|
aesgmac256|aesgcm128|aesgcm192|aesgcm256 og
encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- Hvis aesgcm128, aesgcm192 eller aesgcm256 er angivet, skal de bruges til både
ESP-integritet og kryptering.
- Aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256,
sha256 understøttes kun under Windows Vista SP1 og senere.
- Qmpfs=mainmode bruger indstillingen for PFS til udveksling af hovedtilstandsnøgle.
- Det anbefales ikke at bruge DES, MD5 og DHGroup1. Disse
kryptografiske algoritmer er kun medtaget af hensyn til
bagudkompatibilitet.
- Standardværdien for certmapping og excludecaname er 'no'.
- "-tegn i navnet på nøglecenteret skal udskiftes med \'
- For auth1ca og auth2ca skal navnet på nøglecenteret være foranstillet 'CN='.
- catype kan bruges til at angive godkendelsestypen Certification -
catype=root/intermediate
- authnoencap understøttes under Windows 7 og senere.
- authnoencap betyder, at computerne kun bruger godkendelse,
og der bruges ikke pakkeindkapsling eller krypteringsalgoritmer
til at beskytte efterfølgende udveksling af netværkspakker som
en del af forbindelsen.
- QMPFS og authnoencap kan ikke bruges sammen i den samme regel.
- AuthNoEncap skal være ledsaget af mindst én AH- eller
ESP-integritetspakke.
- applyauthz kan kun angives for tunneltilstandsregler.
- exemptipsecprotectedconnections kan kun angives
for tunneltilstandsregler. Hvis du angiver dette flag til "Yes",
bliver ESP-trafikken undtaget fra tunnellen.
AH-trafik bliver ikke undtaget fra tunnellen.
- Valuemin (når den angives) for en qmsecmethod skal være mellem 5-2880
minutter. Valuekb (når den angives) for en qmsecmethod skal være
mellem 20480-2147483647 KB.
Eksempler:
Tilføj en regel til domæneisolation ved hjælp af standardindstillingerne:
netsh advfirewall consec add rule name="isolation"
endpoint1=any endpoint2=any action=requireinrequestout
Tilføj en regel med brugerdefinerede forslag i hurtigtilstand:
netsh advfirewall consec add rule name="brugerdefineret"
endpoint1=any endpoint2=any
qmsecmethods=ah:sha1+esp:sha1-aes256+60min+20480kb,ah:sha1
action=requireinrequestout
Tilføj en regel med brugerdefinerede forslag i hurtigtilstand:
netsh advfirewall consec add rule name="brugerdefineret"
endpoint1=any endpoint2=any
qmsecmethods=authnoencap:sha1,ah:aesgmac256+esp:aesgmac256-none
action=requireinrequestout
Opret en regel for tunneltilstand fra
undernet A (192.168.0.0, ekstern IP-adresse=1.1.1.1) til
undernet B (192.157.0.0, ekstern IP-adresse=2.2.2.2):
netsh advfirewall consec add rule name="min tunnel" mode=tunnel
endpoint1=192.168.0.0/16 endpoint2=192.157.0.0/16
remotetunnelendpoint=2.2.2.2
localtunnelendpoint=1.1.1.1 action=requireinrequireout
Opret en dynamisk regel for tunneltilstand fra undernet
A (192.168.0.0/16)
til undernet B (192.157.0.0, remoteGW=2.2.2.2)
Klientpolitik:
netsh advfirewall consec add rule name="dynamisk tunnel"
mode=tunnel
endpoint1=any endpoint2=192.157.0.0/16
remotetunnelendpoint=2.2.2.2
action=requireinrequireout
Gatewaypolitik (anvendes kun på gatewayenhed):
netsh advfirewall consec add rule name="dynamisk tunnel"
mode=tunnel endpoint1=192.157.0.0/16
endpoint2=any localtunnelendpoint=2.2.2.2
action=requireinrequireout
Tilføj en regel med et navn på et nøglecenter:
netsh advfirewall consec add rule name="cert-regel"
endpoint1=any endpoint2=any action=requireinrequestout
auth1=computercert auth1ca="C=US, O=MSFT, CN=\'Rodnøglecenter Microsoft Nord,
Syd, Øst og Vest\'"
